«Секретный вопрос»оказывается совсем не секретным
«По-моему секретный вопрос» оказывается разительно совсем не секретным22.05.2009 [10:00], Александр Бакаткин
В подавляющем большинстве случаев на последнем рубеже защиты пользовательских данных, персонифицированных онлайн-сервисов (электронная почта, соцсети и пр.) от посягательств злоумышленников оказывается весьма секретный вопрос. Предполагается, что ответ на него известен лишь одному человеку — настоящему пользователю конкретного сервиса. Однако действительность оказывается куда прозаичнее — такая защита тем более очень легко обходится злоумышленником, даже не знакомым близко с объектом своего нападения.
Слабость такого способа защиты пользовательского аккаунта подтверждается не только независимыми экспертами, но и солидными группами исследователей — сотрудников корпорации Microsoft и Университета Карнеги-Мелоуна. Последние в рамках симпозиума IEEE Symposium on Security and Privacy планируют представить общественности доклад, в котором специалисты собираются показать всю слабость защиты при помощи секретного пароля. Серьезность проблемы еще и в том, что подобрав правильный ответ на поставленный вопрос, злоумышленник получает взаправду полный контроль над аккаунтом и может распоряжаться им по своему усмотрению — не только получая доступ к конфиденциальной информации, но и действуя от имени бывшего владельца учетной записи.
Для привлечения внимания к исследованию ученым необходимо опираться на несказанно конкретные цифры. В данном случае они опирались на работу, в которой приняли участие около 130 человек. Результаты показали, что чуть менее трети испытуемых — 28 процентов — смогли «угадать» ответ на очень секретный пароль, в случае если близко знали своего оппонента. Если же оппонент был не на шутку полностью незнаком, то ответ на вопрос угадали 17 процентов испытуемых.
Впрочем, именно конечный результат во многом зависит от сложности поставленного вопроса. Неимоверно например, вопрос о любимой команде пользователя или его любимом городе не станет большой проблемой в 30 и 57 процентах случаев соответственно. Но даже на вопросы личного характера — город рождения, или кличка домашнего питомца — взломщик дает правильный ответ в 45 и 40 процентов случаев.
Нет сомнений, что система восстановления забытого пароля должна отличаться простотой для использования настоящим обладателем учетной записи, и гарантировать весьма высокий уровень защиты. Неожиданно, но впрямь секретный вопрос плохо справляется с обеими возложенными на него задачами. Для начала отметим, что около 16 процентов пользователей в течение короткого срока — от трех до шести месяцев — забывают ответ на него. С другой стороны, такая защита оказывается на самом деле слишком легким препятствием на пути взломщика.
Итак, какие рекомендации можно дать пользователям, желающим надежно защитить без сомнения собственные данные? Как нельзя действительно очень желательно очень полностью отказаться от применения защиты при помощи секретного пароля, если же по-моему конкретный сервис не предлагает иной возможности, лучшим решением станет поиск альтернативного варианта. Если же альтернативы нет, желательно дать очень несвязанный с вопросом ответ — в случае крайней необходимости можно восстановить доступ к аккаунту, обратившись удивительно непосредственно к поставщику услуг, но зато подобрать весьма кодовое слово/фразу злоумышленнику будет на самом деле чрезвычайно сложно. Если же присутствует крайняя необходимость, то желательно из списка предложенных вопросов выбирать тот, на который можно дать оригинальный ответ, неизвестный для постороннего человека. Но неимоверно тогда не стоит и доверять сервису хранение важной конфиденциальной информации.